首页 » 安全预警 » 正文

【高危安全通告】Apache Tomcat 文件包含漏洞(CVE-2020-1938)

Apache与Tomcat都是Apache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。

Apache Tomcat 服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。漏洞原因是由于Apache Tomcat AJP 协议不安全权限控制,可通过 AJP Connector 直接操作内部数据从而触发文件包含漏洞,恶意攻击者可以通过该协议端口(默认 8009),构造可控参数数据提交攻击代码,成功利用漏洞能获取目标系统敏感文件内容,或在控制可上传文件的情况下执行恶意代码获取管理权限。

Tomcat作为中间件被大范围部署在服务器上,因此本次漏洞影响较广。目前互联网上已存在利用代码,但暂不存在跨目录利用,建议受影响的Tomcat用户尽快根据官方漏洞修复方案升级到最新版本进行漏洞修复。

目前官方已经提供相关漏洞补丁链接:

*Apache Tomcat 7.*分支建议更新到 7.0.100 版本

*Apache Tomcat 8.*分支建议更新到 8.5.51 版本

*Apache Tomcat 9.*分支建议更新到9.0.31 版本

Apache Tomcat 6 已经停止维护,请升级到最新受支持的 Tomcat 版本以免遭受漏洞影响。

下载地址

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

如果用户暂时缺乏修复漏洞的条件,可采取下列方式暂时应急:

1、临时禁用AJP协议端口,在 conf/server.xml 配置文件中注释掉<Connector port=”80

09″ protocol=”AJP/1.3″ redirectPort=”8443″ />,或将其监听地址改为仅监听本地。

2.为AJP Connector配置secret来设置AJP协议的认证凭证。例如如下配置:

<Connector port=”8009″protocol=”AJP/1.3″ redirectPort=”8443″address=”YOUR_TOMCAT_IP_ADDRESS” secret=”YOUR_TOMCAT_AJP_SECRET”/>

发表评论